Astuce securite (prevention)

[sebdraluorg]

Salut a tous,

 

voici un petit Reg qui va ajouter l'extention .Zeb

identique a celle de .exe dans le registre.

 

Ainsi le jour ou un malware modifie vos extentions il vous pourrez renomer les applications dont vous aurez besoin pour desinfecter votre machine!

 

Attention ce fichier reg n'est valide que pour Windows XP et necessite une adaptation pour les version anterieurs!

 

Apercu:

 

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.Zeb]
@="Zebfile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\Zebfile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\Zebfile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\Zebfile\shell]

[HKEY_CLASSES_ROOT\Zebfile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\Zebfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\Zebfile\shell\runas]

[HKEY_CLASSES_ROOT\Zebfile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\Zebfile\shellex]

[HKEY_CLASSES_ROOT\Zebfile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\Zebfile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\Zebfile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\Zebfile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

 

++

[Greywolf]

ça a l'air intéressant;

cependant, si le malware infecte les exécutables comme c'est/ça va être la mode, ça changera quoi? Le fichier .exe infecté renommé en .zeb contiendra toujours le code du malware non?

[sebdraluorg]

Salut Greywolf,

 

Cette "astuce" sert a proteger ses extentions par ses executables...

 

On voit tres souvents des malwares qui modifient l'extention .exe, .com , bat , reg, .vbs etc...

 

Cette astuce permet de ne pas se retrouver complement demuni dans ces cas la...

 

++

[Invité tesgaz]

Salut seb,

 

le problème !

c'est qui si l'extension reg est affecté, comment faire pour mettre en place l'astuce ?

[sebdraluorg]

Salut Tesgaz,

 

Yep c'est pour ca que j'ai mis "Prevention" dans le titre

 

C'est juste une petite assurance en plus....

 

++

[Greywolf]

et si le malware fait fi de l'extension et regarde si le fichier est au format PE? (oui, je sais je suis chiant avec mes questions)

[sebdraluorg]

Re,

 

Eeeh... bah je dirais:

« Face à certains rootkits ou spywares, la seule solution reste de tout effacer et de réinstaller le système… »

 

Voir ici si pas compris

 

++

[FoxLeRenard]

Houla !! je lits ce fil bien tard, mais quelle atroce bidouille inutile

lorsqu'un des nombreux trojan ou virus (les deux catégories le font) bloquent les exe bat com etc...

il ne peuvent agir que sur les

shell ==> OPEN , mais pas sur les

shell ==> install car c'est exactement par ce shell qu'il se réinstalent

alors les amis pourquoi vous fatiguer ??

vos exe bat com etc ... sont bloqués ? vous ne pouvez donc même plus alncer regedit ?

 

Alors prenez ce INF si simple que vous le comprendrez facilement ...

 

gardez le sous la main et appelez le par exemple mon_reparateur_exe.inf

 

Alors quand vous en avez besoin un clic droit dessus et choisissez installer

aucun message ne vous sera renvoyé, normal !

Rebootez de suite et hop ça remarchera !!

 

[Version]
Signature="$Chicago$"
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0

 

Par correction j'ais gardé la signature du céateur de cet outil !!!

A+

[sebdraluorg]

lol! reflechis avant de parler ca vaudra mieux pour tout le monde!

 

il ne peuvent agir que sur les

shell ==> OPEN , mais pas sur les

shell ==> install car c'est exactement par ce shell qu'il se réinstalent

Erf tu te rends compte de ce que tu raconte ? ou bien tu as fais un copier coller ?

 

Si on vire l'extension .inf ou il est ton shell instal ?

 

Ici c'est un petit reg qui doit etre executé sur une machine saine en prévention, ainsi si l'extension .exe et ou les autres sont corrompues par un malware ou simplement par le disfonctionnement de Windows ou d'un programme, un simple renommer de l'executable permettra de le lancer.

 

Pour terminer, "l'astuce" de l'inf est connue, fais des recherches sur le forum tu verra qu'elle a deja ete donnees plusieurs fois...

 

En esperant que la prochaine fois que tu aura envie de partager tes connaissances tu seras un peu plus modeste et diplomate!

 

++